Gerenciamento de Risco, alternativa eficaz para gerenciar segurança

O principal erro da segurança da informação está no uso indiscriminado de tecnologias de segurança. Um paralelo aos ambientes de tecnologia da informação profissionais pode ser feito nos ambientes mais simples e até domésticos da segurança física. Recentemente, visitei amigos num edifício residencial em São Paulo. Do portão da rua até a porta do apartamento dos amigos, foram mais de dez câmeras de circuito interno de TV, inclusive uma no pequeno elevador. Todavia, fui autorizado a passar por dois portões automáticos e colocar o carro dentro do estacionamento para visitantes e chegar até a guarita do porteiro sem trocar nenhum diálogo com ninguém. Continue lendo

Publicado em Gestão | Com a tag , , , | Deixar um comentário

Classificando a informação

Dentre todas as regras adotadas na gestão da segurança da informação, talvez a mais importante de todas e a mais negligenciada com postergação ad infinitum seja a classificação das informações. Na minha visão (infosecurity), caso não haja possibilidade de desenvolver um pacote completo de políticas e práticas da segurança informação, deveria haver pelo menos dois documentos balizadores e fundamentais: (a) uma definição da política de segurança no estilo do bíblico “Dez Mandamentos”, direta, rápida, concisa, que possa ser decorada por todos, e (b) a política de classificação das informações. Continue lendo

Publicado em Políticas | Com a tag , , , | Deixar um comentário

15ª CSI Computer Crime & Security Survey 2010-2011

O CSI – Computer Security Institute publicou hoje sua 15ª pesquisa anual “CSI Computer Crime & Security Survey”, referente a 2010/2011. Me surpreendeu que 49,8% dos 285 entrevistados afirmaram não terem sofrido nenhum incidente de segurança no período pesquisado, enquanto 41,1% sofrerem algum tipo de incidente de segurança e 9,1% não souberam dizer que sofreram ou não. Continue lendo

Publicado em Aconteceu | Com a tag , , , , | Deixar um comentário

Polêmica do wardriving

Na sua coluna “Conexão Global” de hoje, 30/11/2010, no jornal O Globo, o excelente jornalista Nelson Vasconcelos publicou uma nota sobre o Dia Internacional de Segurança em Informática. Lá, Nelson conta que o Seprorj, Sindicato das Empresas de Informática do Rio de Janeiro, aderiu à campanha da Associação pelo Dia da Segurança em Computadores, o Computer Security Day, lançando o projeto Wardriving Day, onde irão procurar redes sem fio desprotegidas e publicar seus achados. Continue lendo

Publicado em Opinião | Com a tag , , , , | Deixar um comentário

Simplificando Padrões ISO para Segurança da Informação


O último post pode ter deixado quem não conhecia o poder de trabalho do pessoal da ISO/IEC apavorado com a quantidade de padrões já publicados, e vem mais, sobre o tema Segurança da Informação. Mas tem como a gente dar um pouco de ordem nessa avalanche de informações.

Você leu no post anterior – Padrões ISO – que o pessoal da ISO e da IEC que desenvolve os padrões sobre Tecnologia da Informação, está alocado no Comitê Técnico JTC 1 (Joint ISO/IEC Technical Committee). Também naquele post, vimos que dentro do JTC 1 existe um subcomitê chamado SC 27. O pessoal do SC 27 está responsável pelo desenvolvimento dos padrões relativos à Segurança de TI. Foi até aí que chegamos. Continue lendo

Publicado em Padrões | Com a tag , , | Deixar um comentário

Padrões ISO

Um dos temas que comentarei muito aqui no monolithos, são os padrões internacionais. Isso porque não tenho nenhuma pretensão de reinventar a roda e depois, aproveitar o que já foi desenvolvido com qualidade, é obedecer uma outra regra fundamental que uso para a minha vida, tanto particular quanto profissional: K.I.S.S. (Keep It Simple Stupid). Continue lendo

Publicado em Padrões | Com a tag , , , , | Deixar um comentário

Por que falham os Security Officers?

Já escrevi muitos blogs. Todos eram só meios para eu praticar o hobby de escrever. Uma vez trabalhei em uma pequena empresa que tinha um site muito ruim. Era até bonito, mas não era funcional, não aparecia nas pesquisas dos sites de buscas e não tinha quase visita nenhuma. Bem, o autor do site era a empresa de marketing de um dos sócios da empresa que eu trabalhava. Minha saída foi propor um blog corporativo. Foi um sucesso. Era funcional, aparecia bem nos sites de buscas e tinha uma visitação interessante. Foi essa a única experiência de blog profissional. Continue lendo

Publicado em Gestão | Com a tag , , , | Deixar um comentário